黑客去在哪里-看我怎样检验登陆密码抓取武器Mimikatz的实行
先前,我阅读文章了CyberWarDog的威协主动出击(Threat Hunting)文章内容,而且还偶然发现并仔细阅读了他的“找寻运行内存中的Mimikatz”系列产品文章内容。在其中,用以搭建签字的方式好像比较简单,而且在对故意专用工具的剖析全过程中,早已解决了找寻通道的这一阻碍。
用以检验Mimikatz的方式被称作排序(Grouping),具体来讲,是黑客取得成功删掉行政部门案底获得一组独特的Artifacts,而且鉴别好几个独特的Artifacts另外出現的時间。在文中中,大家将参照CyberWarDog的方式,来讨论怎么使用Sy *** on和ELK Stack对登陆密码抓取武器Mimikatz开展检验与报警。
大家假定你早已有着一个ELK Stack,而且配备了ElastAlert集成化。那样,就可以在十多分钟的時间里快速将HELK构建取得成功(ElastAlert事后会两者之间合拼)。
一开始,我觉得这并并不是一个黑客取得成功删掉行政部门案底极致的解决 *** 。其构思非常简单,假如在同一个服务器中,有五个DLL在1秒左右以内被连续浏览,那麼就传出报警。殊不知,很造化弄人,ElastAlert沒有内嵌这一作用,一样Python都没有。
Sy *** on配备
我应用的Sy *** on配备是Ion-Storm Sy *** on 黑客取得成功删掉行政部门案底 Config,源代码坐落于: https://github.com/ion-storm/sy *** on-config/blob/master/sy *** onconfig-export.xml 。默认设置状况下,恰当的恶性事件可能被分享。在其中的第571-579行以下:
<!--
Mimikatz Detection -->
<ImageLoadedcondition="is">C:WindowsSystem32WinSCard.dll</ImageLoaded>
<黑客取得成功删掉行政部门案底!--MimiKatz Detection Credit: @Cyb3rWard0g:
https://cyberwardog.blogspot.com/2017/03/chronicles-of-threat-hunter-hunting-for.html
-->
<ImageLoadedcondition="is">C:WindowsSystem32cryptdll.dll</ImageLoaded>
<!--MimiKatz 黑客取得成功删掉行政部门案底 Detection Credit: @Cyb3rWard0g:
https://cyberwardog.blogspot.com/2017/03/chronicles-of-threat-hunter-hunting-for.html
-->
<ImageLoadedcondition="is">C:WindowsSystem32hid.dll</ImageLoaded>
<!--MimiKatz 黑客取得成功删掉行政部门案底 Detection Credit: @Cyb3rWard0g:
https://cyberwardog.blogspot.com/2017/03/chronicles-of-threat-hunter-hunting-for.html
-->
&黑客取得成功删掉行政部门案底lt;ImageLoadedcondition="is">C:WindowsSystem32samlib.dll</ImageLoaded>
<!--MimiKatz Detection Credit: 黑客取得成功删掉行政部门案底 @Cyb3rWard0g:
https://cyberwardog.blogspot.com/2017/03/chronicles-of-threat-hunter-hunting-for.html
-->
<ImageLoadedcondition="is">C:WindowsSystem32vaultcli.dll</ImageLoaded>
<!--MimiKatz Detection Credit: @Cyb3rWard0g:
https://cyberwardog.blogspot.com/2017/0黑客取得成功删掉行政部门案底3/chronicles-of-threat-hunter-hunting-for.html
-->
<ImageLoadedcondition="is">WMINet_Utils.dll</ImageLoaded>
<!--MimiKatz Detection Credit: 黑客取得成功删掉行政部门案底 @Cyb3rWard0g:
https://cyberwardog.blogspot.com/2017/03/chronicles-of-threat-hunter-hunting-for.html
-->
<ImageLoadedcondition="contains">Temp</ImageLoaded>
<!--
END: Mimikatz Detection -->
黑客取得成功删掉行政部门案底最初,大家必须写一个脚本 *** ,来开展一些逻辑性上的认证。我尝试让Python专用工具尽量模块化设计,那样大家就可以轻轻松松地对别的恶性事件“排序”开展报警。
大家即将检验的五个DLL是:
Cryptdll.dll
Hid.dll
Samlib.dll
Vaultcli.dll
Winscard.dll
在这儿,还存有乱报的一种概率,假如正巧这种DLL在1分钟以内被一切正常浏览,那麼一样会造成报警。
报警脚本 ***
在运作ELK 黑客取得成功删掉行政部门案底 Stack的 *** 服务器上,大家更先建立py-alert.py并编写:
sudo
nano /bin/py-alert.py
py-alert.py的源码以下:
#!/usr/bin/python
import sys
黑客取得成功删掉行政部门案底from argparse import ArgumentParser
import datetime
import requests
import subprocess
import os
time = datetime.datetime.now().strftime("%H:%M-%y-%m-%d")
def 黑客取得成功删掉行政部门案底 print_banner():
print('''npy-alert.py is a tool written to
expand the functionality of ElastAlert
Author: Jordan Potti
Twitter: @ok_bye_nown'''
黑客取得成功删掉行政部门案底 )
def main():
global arguments
parser = ArgumentParser()
parser.add_argument("-T",
dest="action",required=True,help="Action 黑客取得成功删掉行政部门案底 Type: Send Alert (S) or
Data Write (D)")
parser.add_argument("-a",
dest="detection",required=True,help="Alert 黑客取得成功删掉行政部门案底 Name")
parser.add_argument("-c",
dest="host",required=False,help="Host to record")
parser.add_argument("-S",
dest="slack",required=False,help="Slack 黑客取得成功删掉行政部门案底 Web Hook")
parser.add_argument("-t",
dest="tripped",required=False,help="Number or Hosts needed to
alert")
if len(sys.argv) == 1:
print_banner()
parser.error("No 黑客取得成功删掉行政部门案底 arguments
given.")
parser.print_usage
sys.exit()
arguments = parser.parse_args()
黑客取得成功删掉行政部门案底 outf ile = '/tmp/'+arguments.detection
if arguments.action == 'D':
with open (outfile, "a+") 黑客成功删除行政案底 as
out_file:
out_file.write(arguments.host+"n")
if arguments.action == 'S':
command 黑客成功删除行政案底 = "head -50 %s | sort |
uniq -c | gawk '$1>=%s{print $2}'" %(outfile,arguments.tripped)
print(command)
黑客成功删除行政案底 output = os.popen(command).read()
if output != '':
output = str(output)
黑客成功删除行政案底 output = output.replace('b'','')
output = output.replace('\n','')
黑客成功删除行政案底 out_file = open(outfile, 'w')
out_file.write("Host: " +
output)
黑客成功删除行政案底 out_file.write("Alert Type:
" + arguments.detection+"n")
out_file.write("Time: " +
黑客成功删除行政案底time)
out_file = open(outfile, 'r')
webhook_url = 黑客成功删除行政案底 arguments.slack
slack_data =
{"text":out_file.read()}
slack_data = str(slack_data)
slack_data ="payload="+slack_data
response = 黑客成功删除行政案底 requests.post(
webhook_url, data=slack_data,
黑客成功删除行政案底 headers={'Content-Type':
'application/x-www-form-urlencoded'})
if response.status_code != 200:
黑客成功删除行政案底 raise ValueError('Request to
slack returned an error %s, the response is: %s' % (response.status_code,
response.text))
黑客成功删除行政案底 os.remove(outfile)
main()
然后,执行该Python脚本:
sudo chmod 755 /bin/py-alert.py
该脚本可以处理我们的全部逻辑,并负责发送Slack Notification告警通知。借助这些选项,我们可以对任何事件组合进行告警。
配置告黑客成功删除行政案底警规则
接下来,将我们的单个规则添加到告警规则目录中。
可以从GitHub获取到我们的规则:
git clone https://github.com/jordanpotti/ElastAlertGrouper.git
随后,将规则文件复制到ElastAlert规则目录中:
sudo cp ElastAlertGrouper/alert_rules/* 黑客成功删除行政案底 /etc/elastalert/alert_rules/
现在,在规则目录中就已经有了6条新规则。当指定DLL被加载时,相应的规则将被匹配到,随后立即发出告警。
以下为samlib.yaml的源代码:
es_host:
localhost
es_port:
9200
name:
"samlib"
realert:
黑客成功删除行政案底 minutes: 0
index:
winlogbeat-*
filter:
-
query:
wildcard:
黑客成功删除行政案底 event_data.ImageLoaded:
"*samlib*"
type:
any
alert:
- 黑客成功删除行政案底 command
command:
["/bin/py-alert.py","-T","D","-a","Mimikatz","-c","%(computer_name)s"]
如你所见,我们配置了典型的告警规则选项,并且会在event_data.ImageLoaded中查询samlib。当告警被触发时,会使用如下命令调用我们的Python脚本:
python3
/bin/py-alert.py –T D –a Mimikatz –o /tmp/mimikatz –c 黑客成功删除行政案底 $ComputerName
其中的参数-T用于指定脚本将要采取的动作,由于我们这里只是将主机名写入文件,所以我们要使用“Document”或者“D”选项。
其中的参数-a是告警类型,在这里是Mimikatz。
其中的参数-c是从告警事件中获取的主机名。
上面的设置针对所有DLL告警事件。因此,当Mimikatz在系统中运行时,输出文件中将会有5个主黑客成功删除行政案底机名被写入。
配置捕获Mimikatz的规则
接下来,让我们来看看Mimikatz的规则:
es_host:
localhost
es_port:
9200
name:
"Mimikatz"
index:
elastalert_status
realert:
黑客成功删除行政案底 minutes: 0
type:
cardinality
cardinality_field:
rule_name
max_cardinality:
4
filter:
-
terms:
黑客成功删除行政案底 rule_name:
- winscard
- cryptdll
- hid
黑客成功删除行政案底 - samlib
- vaultcli
-
term:
alert_sent: true
timeframe:
seconds: 1
alert:
黑客成功删除行政案底- command
command:
["python3","/bin/py-alert.py",
"-T","S","-S","SLACKWEBHOOK","-a","Mimikatz","-黑客成功删除行政案底t","5"]
此告警使用了另外一个索引。实际上,ElastAlert有它自己的索引,在每次告警时都会对其进行查询。因此,我们现在可以查看这个索引,来确认5个DLL的告警是不是在1秒之内被接连触发的。这一过程只需要通过对DLL规则进行筛选就可以完成,并且它只返回那些alert_sent标志设置为true的内容,并且只在1秒之内识别出5个结果的时候才发出告警。
此时,我们需要生成一个Slack 黑客成功删除行政案底 Web Hook,并使用我们的Web钩子替换“SLACKWEBHOOK”。
其中,告警功能的实现同样是通过调用一个Python脚本:
python3
/bin/py-alert.py –T S –S SLACKWEBHOOK –a Mimikatz –t 5
其中的参数-T代表要执行的操作,在这里,我们要执行“Send”操作。
其中的参数-S需要配置为我们的Slack 黑客成功删除行政案底 Web Hook。
其中的参数-a代表需要对哪些检测到的类型进行告警。
其中的参数-t代表次数,我们只在输出文件中有5个或者更多特定的主机名时才会产生告警。
最后一部分是最重要的,其中的这个数字应该是我们“分组”中的规则数量。
测试过程
接下来,我黑客成功删除行政案底们运行Mimikatz:
立即收到了相关告警:
黑客成功删除行政案底
总结
有一点需要黑客成功删除行政案底特别强调,上述内容已经在实验室的环境中进行了测试,而我们实验室的环境中只有几个终端主机。如果需要在生产环境中进行部署,可能需要根据终端的数量进行相应的调整。
关于如何手动部署的更深入指导,请参考我们实验室的文章:https://cyberwardog.blogspot.com/2017/02/setting-up-pentesting-i-mean-threat_98.html
如果在过程中遇到任何问题,欢迎随时通过Twitter 黑客成功删除行政案底 https://twitter.com/ok_bye_now或电子邮件admin@jordanpotti.com与我联系。
我们在本文中涉及到的脚本,并不保证一定能在所有人的环境中成功实现,需要以此为参考进行相应的调整。大家知道,不要盲目信任 *** 上的脚本,需要加以自行判断。
本文翻译自:jordanpotti.com
如若转载,请注明出处:jordanpotti.com
下面的内存频率一栏才是当前内存的I/O频率,已经是2133MHz。黑客去哪里找
黑客 *** 联系方式禁区之门初中时候看的,很好看。
黑客去哪里找先学汇编语言吧,学会了再说其他的,推荐两本书,一本是:80x86汇编语言程序设计教程,另外一本是:汇编语言_第2版,教学视频可以先看中山大学汇编语言。
首先看下矿机服务器有无对外开放远黑客成功删除行政案底程端口检查下服务器的管理员账户和密码是否存在弱口令的密码如123456666666admin之类的密码加强安全部署安全。
盗取你东西的主要病毒软件,谁发给你的病毒文件一旦你打开就有可能泄密。手机里面是所有信息就会发送到指定的邮箱里。包括你的微信账号密码,以及你存在手机。黑客去哪里找
。乌兹别克斯坦塔什干(首都)TAS阿达纳ADA城市代码城市代码城市代码安庆AQG九寨JZH乌鲁木齐URC安康AKA昆明KMG武汉WUH包头BAV喀黑客成功删除行政案底什KHG武夷山WUS北海B。
黑客去哪里找汇编语言根据编译器的不同可以分:ma *** ta *** na *** fa *** 等根据cpu的不同,又可以分很多种按照汇编的语法也可以分为:intel格式的和at&t格式的====。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
